Image
11.12.2017 0 Comments

Cloud a bezpečnosť: Treba sa báť?

V dnešnej dobe, keď sú cloudové riešenia „v móde“, stále viac a viac dát a citlivých (osobných alebo ­firemných) údajov ukladáme   „niekam“ do cloudu. Je preto logické, že s týmto trendom sa do popredia dostáva aj otázka bezpečnosti dát. Ako to teda je? Máme sa o svoje dáta obávať alebo môžeme cloudovým službám veriť a pokojne spávať? Hneď na úvod odpoviem na otázku. Áno, dovolím si tvrdiť, že dáta sú v cloude v bezpečí. Má to však niekoľko ALE. Ako sa teda dopracovať k pokojnému spánku a na čo si pri výbere cloudu dať pozor?

Aplikačná bezpečnosť vs.bezpečnosť cloudu

Veľmi dôležité je, na čo budete cloud využívať, resp. aké aplikácie budete na ňom prevádzkovať. Väčšina firiem využíva model, keď si cloud nakúpi, aby pokryla potreby základnej IT infraštruktúry, serverových licencií a podobne. Následne do takéhoto prostredia nasadzuje vlastné alebo na mieru vytvorené aplikácie. Darmo bude samo úložisko skvelo zabezpečené, keď váš podnikový intranet naprogramovaný na mieru bude plný základných bezpečnostných chýb, a teda ľahko napadnuteľný. V prípade, že si cloud kupujete hlavne ako infraštruktúru alebo v ňom nasadíte nejaké ­aplikácie, nezabudnite na bezpečnosť daných aplikácií. Pred presunom jednotlivých komponentov vášho IT portfólia je dôležité zamerať sa nielen na to, či vaše používané aplikácie v tomto prostredí budú fungovať, ale aj na to, či sú dostatočne zabezpečené. Presun do cloudového prostredia môže byť často aj dôvod zmeny aplikácie, jej výraznej aktualizácie alebo prechodu na inú generáciu.

Certifikácie a penetračné testy

Spoločnosti, ktoré poskytujú cloudové služby, investujú do bezpečnosti veľké finančné prostriedky. Je to logické, keďže ide o ich „core business“. Veľký bezpečnostný incident, ktorý by ohrozil dáta klientov, môže mať pre takúto spoločnosť priam likvidačné následky. Určite sa teda pri výbere cloudu opýtajte na automatické alebo externé penetračné testy (často známe aj ako ethical hacking) a na prípadné certifikácie z takýchto testov. Štandardne totiž dostane spoločnosť po externom teste report o ich výsledkoch. Zvyčajne existujú dve verzie takéhoto reportu: jedna interná s detailným opisom prípadných nájdených bezpečnostných hrozieb a jedna zjednodušená. Je to akýsi management summary. Slúži na oznámenie zákazníkom a má potvrdiť to, že riešenie je bezpečné. V prípade, že takýto zjednodušený report neexistuje, mali by ste mať možnosť aspoň nahliadnuť do detailných reportov, o ktoré sa partner logicky s vami nemôže podeliť. Dobrým dôkazom bezpečnosti bývajú aj „staré dobré“ certifikácie ISO. Ak cloudová spoločnosť vlastní napríklad certifikát ISO 27001 pre cloudové služby, je to určite známka toho, že táto firma sa bezpečnosťou zaoberá. Ďalší príklad je členstvo v rôznych organizáciách, špecifických pre cloudových poskytovateľov, z ktorých najznámejšia je asi Cloud Security Alliance – CSA (https://cloudsecurityalliance.org/).

Ak váš partner ničím takýmto nedisponuje, je zrejme vhodné sa ešte poobzerať na trhu.

Zmluva

Zmluva je, samozrejme, dôležitá súčasť celkovej bezpečnosti aj cloudového riešenia.  Hlavne v prípade veľkých cloudových riešení od nadnárodných korporácií je dôležité jej rozumieť a neodbiť ju jedným kliknutím na tlačidlo súhlasu. Treba si tiež uvedomiť, že prenos dát do cloudu neznamená, že automaticky na cloudového poskytovateľa prenesiete niektoré zákonné povinnosti, napríklad v súvislosti s ochranou osobných údajov. Cloudový poskytovateľ zvyčajne nie je spracovateľom osobných údajov z pohľadu zákona, poskytuje vám  „len“ prostredie, na ktorom ich vy spracúvate, a teda spracovateľom ostávate vy. Takýchto príkladov sa dá nájsť niekoľko, a preto len zopakujem - zmluvu rozhodne nezanedbajte.

Cloud nie je budúcnosť. Je to súčasnosť. A neprejsť so svojimi dátami do cloudu znamená stagnáciu. Preto sa prestaňte obávať. Stačí si len jednoduchým spôsobom overiť svojho budúceho partnera v podnikaní a vyhnete sa akýmkoľvek problémom.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (25. časť): Okruhy siete Tor

12.12.2017 14:22

V tejto časti seriálu sa poslednýkrát vrátime k sieti Tor, pričom detailnejšie opíšeme spôsob fungovania jej okruhov. Na začiatku článku vám v stručnosti predstavíme postup vytvárania okruhov. Následn ...

ITPro 2

Geografické informačné systémy a virtuálna realita

11.12.2017 14:14

Geografický informačný systém (GIS), počítačový systém pracujúci s údajmi opisujúcimi miesta na zemskom povrchu, je už zo svojej podstaty predurčený na využitie nástrojmi virtuálnej reality. Virtuálna ...

ITPro

Knižné novinky

11.12.2017 13:46

Jak točit skvělá videa pro YouTube Chcete natáčať zaujímavé videá? Chcete byť na YouTube viditeľní a zbierať predplatiteľov? V tom prípade držíte v ruke tú správnu knihu, ktorá vás naučí, ako nakrúca ...

Žiadne komentáre

Vyhľadávanie

PC forum button

Najnovšie videá